Shu bilan birga, yuqoridagi sohalarning har biri uchun
axborotni himoya qilish
vositalarini yaratishda axborot xavfsizligi siyosati quyidagi bosqichlarni tavsiflashi
talab etiladi:
1. Himoya qilinadigan axborot va texnik resurslarni belgilash;
2. Potensial tahdidlarning to‘liq to‘plami va ma’lumotlarning sizib chiqish
kanallarini aniqlash;
3. Turli xil tahdidlar va sizib chiqish kanallari mavjud bo‘lganda
ma’lumotlarning zaiflik darajasi va xavflarini baholashni o‘tkazish;
4. Himoya tizimiga qo‘yiladigan talablarni aniqlash;
5. Axborot xavfsizligi vositalari va ularning xususiyatlarini
tanlashni amalga
oshirish;
6. Tanlangan himoya choralari, usullari va vositalarini amalga oshirish va
ulardan foydalanishni tashkil etish;
7. Butunlikni nazorat qilish va himoya qilish tizimini
boshqarishni amalga
oshirish.
Axborot xavfsizligi siyosati axborot tizimiga qo‘yiladigan hujjatlashtirilgan talablar
shaklida tuziladi. Hujjatlar, odatda, himoya jarayonining tavsifi (tafsiloti)
darajalariga ko‘ra darajalarga bo‘linadi. Axborot xavfsizligi siyosatining yuqori
darajadagi hujjatlari tashkilotning axborot xavfsizligi
sohasidagi faoliyatiga
nisbatan pozitsiyasini, ushbu sohadagi davlat, xalqaro talablar va standartlarga rioya
qilish istagini aks ettiradi. Bunday hujjatlar „AT kontseptsiyasi“, „AT boshqaruvi
reglamenti“, „AT siyosati“, „AT texnik standarti“ va boshqa tashqi va ichki
foydalanish deb nomlanishi mumkin. GOST R ISO/IEC 17799-2005ga muvofiq,
axborot xavfsizligi siyosatining yuqori darajasida quyidagi hujjatlar tuzilishi kerak:
„AT xavfsizligi kontseptsiyasi“, „Axborot tizimi resurslaridan maqbul foydalanish
qoidalari“, „Biznesning uzluksizlik rejasi“.
O‘rta darajaga axborot xavfsizligining ayrim jihatlari bilan bog‘liq hujjatlar kiradi.
Bu axborot xavfsizligi vositalarini yaratish va ulardan foydalanish,
shuningdek,
axborot xavfsizligining ma’lum bir sohasida tashkilotning axborot va biznes
jarayonlarini tashkil etish talablaridir. Bunga misol qilib ma’lumotlar xavfsizligi,
aloqa xavfsizligi, kriptografik himoya vositalaridan foydalanish, kontentni filtrlash
va boshqalarni keltirish mumkin. Bunday hujjatlar odatda tashkilotning ichki texnik
va tashkiliy siyosati (standartlari) shaklida nashr etiladi. O‘rta darajadagi axborot
xavfsizligi siyosatining barcha hujjatlari maxfiy hisoblanadi.
Quyi darajadagi axborot xavfsizligi
siyosati mehnat qoidalari, ma’muriy
qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha
ko‘rsatmalarni o‘z ichiga oladi.
Axborot xavfsizligi tizimining dasturiy va texnik vositalari
[
tahrir
|
manbasini
tahrirlash
]
Quyi darajadagi axborot xavfsizligi siyosati mehnat qoidalari, ma’muriy
qo‘llanmalar, shaxsiy axborot xavfsizligi xizmatlaridan foydalanish bo‘yicha
ko‘rsatmalarni o‘z ichiga oladi.
Adabiyotlarda axborot xavfsizligi vositalarining quyidagi tasnifi taklif
qilingan
[61]
:
Ruxsatsiz kirishdan himoya qilish vositalari:
o
Avtorizatsiya vositalari;
o
Majburiy kirishni boshqarish
[62]
;
o
Tanlangan kirishni boshqarish;
o
Rol asosida kirishni boshqarish;
o
Jurnallar (shuningdek, Audit deb hamataladi).
Axborot oqimlarini tahlil qilish va modellashtirish tizimlari (CASE-tizimlari).
Tarmoq monitoringi tizimlari:
o
Intrusionlarni aniqlash va oldini olish tizimlari (IDS/IPS).
o
Maxfiy ma’lumotlar oqismining oldini olish tizimlari (DLP-tizimlari).
Protokol analizatorlari.
Antivirus vositalari.
Tarmoqli ekranlar.
Kriptografik vositalar:
o
Shifrlash;
o
Raqamli imzo
.
Zaxira tizimlari.
Uzluksiz quvvat tizimlari:
o
Uzluksiz quvvat manbalari;
o
Ortiqcha yuk;
o
Voltaj generatorlari.
Autentifikatsiya tizimlari:
o
Parol
;
o
Kirish kaliti (jismoniy yoki elektron);
o
Sertifikat;
o
Biometrik.
Ishlarni buzish va jihozlarni o‘g‘irlashning oldini olish vositalari.
Binolarga kirishni nazorat qilish vositalari.
Himoya tizimlarini tahlil qilish uchun vositalar:
o
Antivirus
.
